前言（为什么需要KVM审计）：

KVM实现的是带外管理，有着服务器的最高操作权限，就如同在服务器边上进行操作，因此对KVM的操作进行审计，使得KVM操作可以追溯还原。

KVM传输原理及审计

KVM审计涉及的主要是画面数据，各厂家的图像压缩算法和加密算法不同，因此如果是第三方要进行审计的话，需要采用屏幕录像或堡垒机方式来实现审计，只有原厂自己的审计才能直接对数据流进行解压解密来进行审计。

各种KVM审计实现的原理：

一、厂家自身开发嵌套在集中控管平台模式的（瑞声Recent）；

如上图，当客户端从远程IP客户端去访问KVM的时候，KVM会传输一份KVM数据流到“KVM会话客户端”以在客户端还原显示，与此同时“KVM会话客户端”会实时的传送一份KVM数据流到“KVM审计平台”，平台完成审计。

以上KVM审计具备以下优点：

a)       客户端不需要安装审计插件，由“KVM会话客户端”完成数据转发；

b)      安全可靠，严格审计，在无法连接审计服务器的时候，KVM会话会自动关闭，不存在KVM审计被绕过的风险，只要对KVM进行访问，都会被审计；

c)       底层传输技术，更高的压缩效率，且KVM审计平台可部署多个，能够达到高并发要求；

d)      不要求组建单独KVM网络，不需要做任何的网络规则更改，部署方便；

二、需要第三方网关设备产品模式的；（堡垒机模式）

如上图，在网络中做了访问控制列表，客户端不能直接对集中控管平台和KVM进行直接访问，只能通过KVM审计平台来进行访问，KVM审计平台的这种模式，我们称之为物理旁路、逻辑网关。

客户端先通过远程桌面（RDP协议），先登录到KVM审计平台，然后再由KVM审计平台发起对KVM和集中控管平台的访问，在KVM审计平台上安装屏幕录像软件，在进行访问的时候，会自动进行屏幕录像，以实现KVM审计的功能。

此种模式存在以下缺点：

a)       需要定义访问控制列表，增加网管的工作量，并存在风险；

b)      会改变用户使用习惯，会有点别扭；

c)       并发数要求限制严格，有瓶颈；

三、需要安装客户端模式的（已基本淘汰）；

如上图，KVM、集中控管平台、KVM审计平台、客户端组成了一个独立的KVM网络，客户端需要安装一个审计插件，当客户端进行KVM访问的时候，审计插件会检测到相关的特征信息（如专用进程、特殊关键字等），然后审计插件会开始对指定窗口进行屏幕录像操作，录制的内容会临时存在缓存里，当KVM访问结束的时候，审计插件会对录制的内容进行压缩打包，自动以500k — 1M的速度往审计平台上传。

此种模式存在以下缺点：

a)       客户端存在卸载审计端插件风险；

b)      客户端存在拔插网线风险；

c)       客户端存在删除视频文件的风险；

综上所述，如果KVM厂家提供了KVM审计平台的话，部署会更加方便，操作会更加便捷，访问会更加安全。